Solo의 정보보안 해킹하기

[해킹 기법] 해시 크래킹 - 해시에서 비밀번호 복구하기

해시(Hash)해시(Hash)는 입력값을 받아서 일정한 크기의 출력값을 생성하는 암호화 기법이다. 해시는 일방향 암호화 기법이다. 이게 무슨 뜻이냐면 해시값을 역으로 계산해서 입력값을 얻는 것이 불가능하다는 뜻이다. 그렇기 때문에 데이터베이스에 비밀번호를 저장할 때 평문으로 저장하지 않고 비밀번호를 가지고 생성한 해시값을 대신 저장한다. 이렇게 해시값을 저장하면 데이터베이스가 해킹 당해서 정보가 유출되더라도 비밀번호가 아닌 비밀번호를 가지고 생성한 해시값이 유출되기 때문에 어느 정도 피해를 최소화 할 수 있다. 이론적으로 해시값을 역으로 계산해서 입력값인 비밀번호를 얻는 것은 불가능하다. 하지만 비밀번호를 해시화 했다고 해서 무조건 안전한 것은 아니다. MD5처럼 안전하지 않는 해시 알고리즘은 똑같은 해..

steghidesteghide는 데이터를 이미지나 오디오 파일에 숨길 수 있는 스테가노그래피 툴이다. steghide를 사용하면 간단한 텍스트부터 exe 같은 실행 파일까지 명령어 한줄로 손쉽게 숨길 수 있다. steghide는 AES 암호화 + 압축 기능을 제공해 단순히 데이터를 은닉하는 것을 넘어서 다른 사람이 은닉된 데이터를 탐지하기 매우 어렵게 만들 수도 있다. mimikatz.exe 이미지에 숨기기mimikatz는 메모리에서 패스워드, 해시, kerberos 티켓, 인증서 등을 추출할 수 있는 윈도우용 크리덴셜 덤핑 툴이다. 실제로 mimikatz를 사용해서 해킹한 사례들도 매우 많다. 너무 유명한 툴이기 때문에 웬만한 anti-virus 프로그램은 mimikatz를 악성 파일로 인식한다. st..

해킹을 하기 전엔 무엇을 먼저 해야될까?당연히 해킹을 하기 위해선 해킹해야 될 대상이 무엇인지 파악해야 된다. 자신의 목표가 무엇인지도 모른채 해킹을 하는건 마치 장님이 지팡이 없이 목표를 향해서 나아가는 것과 다를 바가 없다. 어디로 가야하오해킹의 목표가 무엇인지 파악하기 위한 첫 단계가 바로 포트 스캐닝이다. 네트워크 관리자나 서버 관리자가 갖춰야 될 덕목이기도 하다... 포트 스캐닝포트 스캐닝이란 어떠 포트가 열려있는지, 해당 포트가 TCP포트인지 UDP포트인지, 해당 포트에서 돌아가는 서버, 서비스, 프로토콜이 무엇인지 확인하는 작업이다. 포트에 대한 정보와 포트에서 돌아가는 서버, 서비스, 프로토콜 등의 정보가 있어야지 이와 관련된 잠재적인 취약점을 발견하고 악용할 수 있다. Nmap 같은 포트..

NetmonOS: Windows취약점: 취약한 FTP 설정 취약한 FTP 서버와 PRTG 네트워크 모니터링 소프트웨어가 설치된 윈도우 머신이다. 기본적인 FTP 취약점에 대한 지식과 구글링을 통해 얻을 수 있는 PTRG 설치 디렉토리 구조에 대한 정보를 활용해서 공략할 수 있는 비교적 쉬운 난이도의 머신이다. 포트 스캐닝nmap -Pn -sS --min-rate 1000 --max-retries 3 -p- -oN ./SYN_SCAN 10.129.230.176PORT STATE SERVICE21/tcp open ftp80/tcp open http135/tcp open msrpc139/tcp open netbios-ssn445/tcp open microsoft-ds59..